パスワードを忘れた? アカウント作成
12807255 story
交通

三菱自動車のアウトランダーPHEVでリモートコントロール機能にセキュリティ上の問題 10

ストーリー by hylom
IoTが普及するとこういう問題も増えそう 部門より
headless 曰く、

三菱自動車のハイブリッド車、アウトランダーPHEVのリモートコントロール機能で見つかったセキュリティ上の深刻な問題が公表されている(Pen Test Partnersのブログ記事BBC NewsRegister)。

モバイルアプリによるリモートコントロール機能を備える自動車の多くはモバイル通信モジュールを搭載し、Webサービスを経由して操作を実行する。一方、アウトランダーPHEVは無線LANアクセスポイントを搭載しており、スマートフォンと直接接続して操作を行う仕組みになっている。無線LAN接続方式は通信費やWebホスティングの費用がかからず、開発費用も抑えられるが、アウトランダーPHEVの場合はセキュリティ面があまり考慮されていないのだという。

アウトランダーPHEVでは、無線LANアクセスポイントのSSIDとパスワードがキーレスオペレーションキーに添付された登録情報カードに記載されている。SSIDの変更は可能だが、パスワードを変更することはできないそうだ。問題を発見したPen Test Partnersによれば、パスワードは単純で非常に短いため、GPUを使ったクラックツールを用いて4日以内で解読に成功したという。

SSIDは「REMOTEnnaaaa」(nは数字、aは小文字の英字)となっており、WiGLEのような無線ネットワークマップを利用すれば場所を簡単に特定できる。モバイルデバイスの認証はアクセスポイントへの接続だけで完了し、あとはメッセージを送信して操作を実行可能となる。操作はライトやエアコンのオン/オフ、充電時刻の変更といったもののほか、盗難防止アラームの無効化も可能だったとのこと。

Pen Test Partnersによれば、この問題に対する短期的な対応としては、すべてのモバイルデバイスの登録を解除することだ。これにより、Wi-Fiモジュールはオフになり、キーレスオペレーションキーのLockとUnlockを交互に10回押さなければオンにならない。ただし、モバイルアプリからのリモートコントロール機能は利用できなくなる。中期的な対応としては無線LANモジュールのファームウェア更新、長期的な対応としては無線LAN方式をやめることが提案されている。

当初、Pen Test Partnersから問題を報告された三菱自動車は、あまり興味を示さなかったが、BBCに連絡して報道してもらったところ、問題を深刻に受け止めるようになったという。現在、三菱自動車では上述の中期的な対応を準備しているとのことで、オーナーには短期的な対応の適用を勧めているとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by miishika (12648) on 2016年06月09日 22時38分 (#3027271) 日記
    BBCに連絡すると報道してもらえたそうだけど、日本なら

    ・三菱自動車に報告→自動車をハッキングしたとして告発逮捕される
    ・テレビ局に連絡→広告を失うことがこわくて無視

    でどうしようもないな。
    • by Anonymous Coward

      ・本格的にやばい状態→舛添のニュース流しまくりで国民の目をそらす

    • by Anonymous Coward

      三菱自動車ぐらいじゃ日本のマス●ミさんもやっちゃうんじゃないですかねえ。

    • by Anonymous Coward

      日本の場合、IPAに報告をするのが良さそうですが
      # 実効性は知らない

  • by Anonymous Coward on 2016年06月09日 21時53分 (#3027240)

    走る、走る無線LANアクセスポイント

    いやはや妙な時代になったもんだ

typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...